Connect with us

Wie man

So melden Sie sich mit Google Authenticator bei Ihrem Linux-Desktop an

So melden Sie sich mit Google Authenticator bei Ihrem Linux-Desktop an

Für zusätzliche Sicherheit können Sie ein zeitbasiertes Authentifizierungstoken sowie ein Kennwort benötigen, um sich bei Ihrem Linux-PC anzumelden. Diese Lösung verwendet Google Authenticator und andere TOTP-Apps.

Dieser Vorgang wurde unter Ubuntu 14.04 mit dem Standard-Unity-Desktop und dem LightDM-Anmeldemanager ausgeführt, die Prinzipien sind jedoch auf den meisten Linux-Distributionen und -Desktops gleich.

Wir haben Ihnen zuvor gezeigt, wie Sie Google Authenticator für den Remotezugriff über SSH benötigen. Dieser Vorgang ist ähnlich. Dies erfordert keine Google Authenticator-App, funktioniert jedoch mit jeder kompatiblen App, die das TOTP-Authentifizierungsschema implementiert, einschließlich Authy.

Installieren Sie die Google Authenticator PAM

Wie beim Einrichten für den SSH-Zugriff müssen wir zuerst die entsprechende PAM-Software („Pluggable-Authentication Module“) installieren. PAM ist ein System, mit dem wir verschiedene Arten von Authentifizierungsmethoden in ein Linux-System einbinden und diese benötigen können.

Unter Ubuntu installiert der folgende Befehl den Google Authenticator PAM. Öffnen Sie ein Terminalfenster, geben Sie den folgenden Befehl ein, drücken Sie die Eingabetaste und geben Sie Ihr Kennwort ein. Das System lädt die PAM aus den Software-Repositorys Ihrer Linux-Distribution herunter und installiert sie:

sudo apt-get installiere libpam-google-authenticator

Andere Linux-Distributionen sollten dieses Paket hoffentlich auch für eine einfache Installation zur Verfügung haben – öffnen Sie die Software-Repositorys Ihrer Linux-Distribution und führen Sie eine Suche danach durch. Im schlimmsten Fall können Sie finden der Quellcode für das PAM-Modul auf GitHub und kompiliere es selbst.

Wie bereits erwähnt, hängt diese Lösung nicht davon ab, dass Sie mit den Servern von Google telefonieren. Es implementiert den Standard-TOTP-Algorithmus und kann auch verwendet werden, wenn Ihr Computer keinen Internetzugang hat.

Erstellen Sie Ihre Authentifizierungsschlüssel

Sie müssen jetzt einen geheimen Authentifizierungsschlüssel erstellen und ihn in die Google Authenticator-App (oder eine ähnliche App) auf Ihrem Telefon eingeben. Melden Sie sich zunächst als Ihr Benutzerkonto auf Ihrem Linux-System an. Öffnen Sie ein Terminalfenster und führen Sie das aus Google-Authentifikator Befehl. Art y und folgen Sie den Anweisungen hier. Dadurch wird eine spezielle Datei im Verzeichnis des aktuellen Benutzerkontos mit den Google Authenticator-Informationen erstellt.

Sie werden auch durch den Prozess geführt, bei dem dieser Zwei-Faktor-Bestätigungscode in einen Google Authenticator oder eine ähnliche TOTP-App auf Ihrem Smartphone übertragen wird. Ihr System kann einen QR-Code generieren, den Sie scannen oder manuell eingeben können.

Notieren Sie sich unbedingt Ihre Notfall-Rubbelcodes, mit denen Sie sich anmelden können, wenn Sie Ihr Telefon verlieren.

Führen Sie diesen Vorgang für jedes Benutzerkonto durch, das Ihren Computer verwendet. Wenn Sie beispielsweise die einzige Person sind, die Ihren Computer verwendet, können Sie dies nur einmal in Ihrem normalen Benutzerkonto tun. Wenn Sie jemanden haben, der Ihren Computer verwendet, möchten Sie, dass er sich in seinem eigenen Konto anmeldet und einen geeigneten Zwei-Faktor-Code für sein eigenes Konto generiert, damit er sich anmelden kann.

Aktivieren Sie die Authentifizierung

Hier wird es ein bisschen schwierig. Als wir erklärten, wie man Zwei-Faktor-Anmeldungen für SSH-Anmeldungen aktiviert, wurde diese nur für SSH-Anmeldungen benötigt. Dadurch wurde sichergestellt, dass Sie sich weiterhin lokal anmelden können, wenn Sie Ihre Authentifizierungs-App verloren haben oder wenn ein Fehler aufgetreten ist.

Da wir die Zwei-Faktor-Authentifizierung für lokale Anmeldungen aktivieren, gibt es hier potenzielle Probleme. Wenn etwas schief geht, können Sie sich möglicherweise nicht anmelden. In diesem Sinne führen wir Sie durch die Aktivierung nur für grafische Anmeldungen. Dies gibt Ihnen eine Notluke, wenn Sie es brauchen.

Aktivieren Sie Google Authenticator für grafische Anmeldungen unter Ubuntu

Sie können die zweistufige Authentifizierung jederzeit nur für grafische Anmeldungen aktivieren und die Anforderung überspringen, wenn Sie sich über die Eingabeaufforderung anmelden. Dies bedeutet, dass Sie problemlos zu einem virtuellen Terminal wechseln, sich dort anmelden und Ihre Änderungen rückgängig machen können, sodass bei Problemen kein Gogole Authenciator erforderlich ist.

Sicher, dies öffnet eine Lücke in Ihrem Authentifizierungssystem, aber ein Angreifer mit physischem Zugriff auf Ihr System kann es trotzdem ausnutzen. Aus diesem Grund ist die Zwei-Faktor-Authentifizierung besonders effektiv für Remote-Anmeldungen über SSH.

Hier erfahren Sie, wie Sie dies für Ubuntu tun, das den LightDM-Anmeldemanager verwendet. Öffnen Sie die LightDM-Datei zur Bearbeitung mit einem Befehl wie dem folgenden:

sudo gedit /etc/pam.d/lightdm

(Denken Sie daran, dass diese spezifischen Schritte nur funktionieren, wenn Ihre Linux-Distribution und Ihr Desktop den LightDM-Anmeldemanager verwenden.)

Fügen Sie am Ende der Datei die folgende Zeile hinzu und speichern Sie sie:

auth erforderlich pam_google_authenticator.so nullok

Das „nullok“ -Bit am Ende weist das System an, einen Benutzer anmelden zu lassen, auch wenn er den Befehl google-authentulator zum Einrichten der Zwei-Faktor-Authentifizierung nicht ausgeführt hat. Wenn sie es eingerichtet haben, müssen sie einen Zeitcode eingeben – sonst werden sie nicht. Entfernen Sie das „Nullok“, und Benutzerkonten, die keinen Google Authenticator-Code eingerichtet haben, können sich nicht grafisch anmelden.

Wenn sich ein Benutzer das nächste Mal grafisch anmeldet, wird er nach seinem Kennwort gefragt und dann aufgefordert, den aktuellen Bestätigungscode einzugeben, der auf seinem Telefon angezeigt wird. Wenn sie den Bestätigungscode nicht eingeben, können sie sich nicht anmelden.

Der Prozess sollte für andere Linux-Distributionen und -Desktops ziemlich ähnlich sein, da die meisten gängigen Linux-Desktop-Sitzungsmanager PAM verwenden. Sie müssen wahrscheinlich nur eine andere Datei mit etwas Ähnlichem bearbeiten, um das entsprechende PAM-Modul zu aktivieren.

Wenn Sie die Home Directory-Verschlüsselung verwenden

Ältere Versionen von Ubuntu boten eine einfache Option zur Verschlüsselung von Home-Ordnern, mit der Ihr gesamtes Home-Verzeichnis verschlüsselt wurde, bis Sie Ihr Passwort eingeben. Dies verwendet insbesondere ecryptfs. Da die PAM-Software jedoch standardmäßig von einer Google Authenticator-Datei abhängt, die in Ihrem Home-Verzeichnis gespeichert ist, beeinträchtigt die Verschlüsselung die PAM beim Lesen der Datei, es sei denn, Sie stellen sicher, dass sie dem System vor der Anmeldung in unverschlüsselter Form zur Verfügung steht die README Weitere Informationen zur Vermeidung dieses Problems, wenn Sie immer noch die veralteten Verschlüsselungsoptionen für das Ausgangsverzeichnis verwenden.

Moderne Versionen von Ubuntu bieten stattdessen eine Vollplattenverschlüsselung, die mit den oben genannten Optionen problemlos funktioniert. Sie müssen nichts Besonderes tun

Hilfe, es ist kaputt gegangen!

Da wir dies nur für grafische Anmeldungen aktiviert haben, sollte es leicht zu deaktivieren sein, wenn es ein Problem verursacht. Drücken Sie eine Tastenkombination wie Strg + Alt + F2, um auf ein virtuelles Terminal zuzugreifen und sich dort mit Ihrem Benutzernamen und Passwort anzumelden. Sie können dann einen Befehl wie sudo nano /etc/pam.d/lightdm verwenden, um die Datei zur Bearbeitung in einem Terminal-Texteditor zu öffnen. Verwenden Sie unseren Leitfaden für Nano, um die Zeile zu entfernen und die Datei zu speichern. Sie können sich dann wieder normal anmelden.

Sie können auch erzwingen, dass Google Authenticator für andere Anmeldetypen erforderlich ist – möglicherweise sogar für alle Systemanmeldungen -, indem Sie anderen PAM-Konfigurationsdateien die Zeile „auth required pam_google_authenticator.so“ hinzufügen. Seien Sie vorsichtig, wenn Sie dies tun. Und denken Sie daran, dass Sie möglicherweise „nullok“ hinzufügen möchten, damit sich Benutzer, die den Setup-Vorgang noch nicht durchlaufen haben, weiterhin anmelden können.

Weitere Dokumentationen zur Verwendung und Einrichtung dieses PAM-Moduls finden Sie in die README-Datei der Software auf GitHub.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia